TOP5 | 头条：俄罗斯推出类似ChatGPT的人工智能程序SistemmaGPT

俄罗斯推出类似ChatGPT的人工智能程序SistemmaGPT；

标签：俄罗斯，ChatGPT，SistemmaGPT

综合俄罗斯“今日俄罗斯”、“卫星通讯社”网站2023年3月26日消息，俄罗斯数据分析、建模和数据处理公司Sistemma基于自身开发及斯坦福大学的研究成果，推出功能类似于ChatGPT的俄罗斯版人工智能程序——SistemmaGPT。该人工智能程序在俄罗斯服务器上运行，适用于俄罗斯企业和政府机构。SistemmaGPT可用英语和俄语工作，能够分析大量数据并找到有用的信息、以虚拟助理的形式与客户通信、创建个性化推荐系统、自动处理订单和来电、回复电子邮件、并与社交媒体用户互动。Sistemma公司指出，SistemmaGPT经测试已允许在商业上使用，首先用于商业机构和政府机构的办公流程一体化。该公司还计划于6月面向公众进行公开测试。

此外，Sistemma公司还在积极开发一个图像和视频处理程序。这将解决复杂的视觉任务，包括识别、分析和计算视觉任务上的目标。Sistemma公司计划于2023年6月开始该功能的验收测试。

信源：互联网天地杂志

首个针对SaaS应用的自动化勒索软件攻击；

标签：SaaS，自动化勒索软件攻击

近日，勒索软件组织Omega成功对某企业使用的SaaS应用（SharPoint Online）发动了勒索攻击，整个攻击（数据泄露）过程高度自动化且没有攻击任何端点。

据报道该事件的网络安全公司Obsidian的创始人Glenn Chisholm介绍，这可能是业界发现的首个针对企业使用的SaaS服务的自动化勒索攻击。

Chisholm指出，对于勒索软件攻击的防护，企业过去依赖端点安全投资，但最新的攻击表明，仅仅确保端点安全还远远不够，因为越来越多的企业在SaaS应用程序中存储和访问数据。

在此次攻击中，攻击者利用了受害企业的安全性较差的SharPoint服务账户凭证（不仅可以通过互联网公开访问，而且没有启用MFA）。并利用SharePoint Online提供的网站集管理功能（多个网站共享管理设置并拥有相同的管理员账户，该功能在拥有多个业务功能和部门的大型企业中很常见），在2小时内批量删除了200个其他管理员账户。

凭借自行分配的权限，攻击者随后使用自动化脚本从受害企业的SharePoint Online库中获取了数百个文件，并将它们发送到与俄罗斯一家Web托管公司相关联的虚拟专用服务器(VPS)主机。

Chisholm表示，Obsidian在过去六个月中观察到的针对企业SaaS环境的攻击比前两年的总和还多。他说，攻击者日益增长的兴趣很大程度上源于这样一个事实，即企业越来越多地将受监管的、机密或敏感信息放入SaaS应用程序中，而没有实施与端点技术相同的控制。

根据AppOmni最新发布的报告，自2023年3月1日以来，针对Salesforce社区站点和其他SaaS应用程序的SaaS攻击增加了300%。主要的攻击途径包括过多的访客权限、过多的对象和字段权限、缺乏MFA以及对敏感数据的过度访问权限。Odaseva去年进行的一项研究显示，48%的受访者表示他们的组织在过去12个月内经历过勒索软件攻击，超过一半的攻击(51%)的目标SaaS数据。

信源：

https://www.obsidiansecurity.com/blog/saas-ransomware-observed-sharepoint-microsoft-365/

德俄罗斯黑客利用 U 盘在乌克兰传播恶意程序；

标签：俄罗斯， U 盘

安全公司赛门铁克的研究人员披露，与 FSB 有关联的俄罗斯黑客利用 U 盘在乌克兰传播恶意程序，旨在窃取军事敏感信息。研究人员将该黑客组织称为 Shuckworm，其他研究人员称之为 Gamaredon 和 Armageddon，活跃时间始于 2014 年，专注于窃取乌克兰情报。2020 年安全公司 SentinelOne 的研究人员披露该黑客组织攻击了乌克兰不同地区逾 5000 个体，尤其是乌军方部署的地区。今年 2 月 Shuckworm 开始以 PowerShell 脚本形式部署新的恶意软件，当被感染的 U 盘连接到目标计算机上，脚本会激活，创建乌克兰语名字的文件，诱骗用户打开文件，在设备上安装后门 Pterodo。

信源：https://arstechnica.com/?p=1947749

美澳联军破坏“伊斯兰国”网络能力；

标签：美国，澳大利亚，伊斯兰国

2016年是“伊斯兰国”组织占领伊拉克第二大城市摩苏尔的第二年。他们盘踞于此，通过互联网筹集资金、招幕人员、传播信仰，擅长对战场通信进行伪装的高等级黑客以及狡猾的网络犯罪分子成为其中的骨干成员。

当以美国为首的联军部队和伊拉克安全部队准备解放摩苏尔时，削弱甚至剥夺“伊斯兰国”组织对互联网的使用就面为重中之重的核心任务。

“我们很迅速地做出判断，认为‘伊斯兰国’组织拥有的巨大优势之一是能够随心所欲地对全球网络进行使用，同时，使用互联网也是他们的重要战略内容。所以我们很坚定地认为，应该剥夺他们对互联网的使用，应该阻止他们。”

澳国安制定断网战术

负责互联网情报的澳大利亚信号局（ASD）挑起了破坏、阻止或限制“伊斯兰国”组织使用互联网的重担。

2016年6月，当伊拉克安全部队和联军部队发起“山谷之狼”行动（Operation Valley Wolf），沿底格里斯河河谷向摩苏尔推进时，澳大利亚信号局承担起为他们开辟和保障安全通道的任务。

行动发起前，澳大利亚信号局在伊拉克沙漠地区进行了仔细的信号搜索，以确定在巴格达和摩苏尔之间活动的“伊斯兰国”组织武装分子。随后，该局负责网络攻击行动的操作员对武装分子使用的电子设备进行了分析，发现他们使用的加密应用软件类型多样，其中既包括相对小众的Surespot和 Wickr，也包括比较大众的WhatsApp和Telegram。

针对这种情况，澳大利亚信号局制定了一套“釜底抽薪”的网络战术，即不再针对武装分子正在使用的某个具体APP进行封堵或限制，而是要破坏或干扰这些APP对互联网的使用。同时，信号局还派遣一位化名“萨拉”的网络行动策划员前往美国马里兰州的美军网络司令部，帮助协调美国、澳大利亚和伊拉克三方的行动。

特制木马实现混合战效果

澳大利亚信号局用来破坏或干扰恐怖分子互联网使用权的工具被称为“光明之箭”（Light Bolt），即一组被植入“伊斯兰国”组织武装分子手机或电脑的秘密代码。

信号局植入这些代码的手段相当高明——既不需要目标点击文本信息，也不需要他们对钓鱼邮件进行回复。“一切都是在神不知鬼不觉的过程中完成的，”萨拉说。“‘光明之箭’是一种‘特洛伊木马’式的技术，代表着一种攻击型网络能力，或者说黑客能力，可以剥夺‘伊斯兰国’组织对互联网的连接。”

当伊拉克安全部队和联军部队沿底格里斯河谷推进时，澳大利亚信号局就会激活“光明之箭”，关闭或瘫痪“伊斯兰国”组织使用的各种电子系统。

根据需要，“光明之箭”可以调用不同网络工具对目标造成不同程度的破坏，其中最简单、破坏程度最轻工具被称为“瑞克摇滚”（Rickrolling）。这个名字来源于一种网络恶作剧，指目标会定向打开一个视频，内容是英国男歌手瑞克·阿斯特雷（Rick Astley）正在演唱流行单曲《永远不会放弃你》。

从本质上说，“瑞克摇滚”是一种制造麻烦的工具，不能对目标的通信造成永久损伤或破坏。解决这种麻烦的方法也很简单——只需要将电子设备关机再开机就行了。然而这种简单的动作对战场上的“伊斯兰国”武装分子是致命的。

“为了重启电子设备而离开阵地的恐怖分子，肯定就会暴露在我方士兵的枪口之下，”澳大利亚信号局高级网络操作员丹·贝克（Dan Baker）说。“所以，即便‘瑞克摇滚’只能造成很简单的网络效果，但如果和友军的作战行动配合默契，也能在某些场合带来意想不到的战果。”

“山谷之狼”行动期间，网络操作员在澳大利亚信号局总部的地下室内24小时待命，随时准备激活“瑞克摇滚”或其他网络武器为伊拉克战场上的作战部队提供保护。前信号局局长迈克·伯吉斯（Mike Burgess）对此大为赞赏，称这很可能这是有史以来第一次常规武装力量网络操作人员进行远程实时协作。“用一种熟练、精确和及时的方式，通过网络空间与战场上的军队配合，很显然对澳大利亚来说是第一次，我想在世界范围内也是第一次，”他说。

持续对抗升级奠定作战效果

“伊斯兰国”组织想出解决“瑞克摇滚”的办法后，澳大利亚信号局也迅速推出升级方案，启用了一种需要更高技术水平才能破解的网络武器，即“爱心熊”；“爱心熊”被破解后，“暗黑之墙”紧接着登场。这件网络武器非比寻常，可以造成目标电子设备无法工作，让手机或电脑无法连接互联网。

接二连三的网络让“伊斯兰国”组织武装分子的手机几乎无法使用，不得不靠容易被侦测定位的无线电进行通信联络。这在无形中加速了他们的灭亡——无线电信号就像灯塔，明明白白地向联军的空中和地面打击火力标示了自己的位置。

到“山谷之狼”行动结束时，澳大利亚信号局共锁定47部手机或其他电子设备，并针对目标发动了81次网络打击，配合地面作战部队收复了卡亚拉赫西部空军基地（机场），为2017年1月最终收复摩苏尔建立了集结阵地。

信源：  安全内参

黑客团伙通过虚假PoC诱骗网络安全研究人员；

标签：黑客团伙，虚假PoC

漏洞情报公司 VulnCheck 最近发现，在 GitHub 和 Twitter 上有黑客团伙假冒网络安全研究人员发布虚假的 PoC 漏洞利用，借此针对 Windows 和 Linux 设备植入恶意软件。

在个人资料页面，这些人自称是 “High Sierra Cyber Security” 网络安全公司的研究人员，为增加可信度，甚至还盗用了 Rapid7 等安全公司的真实安全研究人员的头像。他们在 Twitter 上宣传其看似正规的 GitHub 代码库，潜在攻击目标很可能是参与漏洞研究的网络安全研究人员及公司。

6 月 14 日，VulnCheck 漏洞情报公司撰写了一篇博文阐述此事，他们报告称这个活动自 2023 年 5 月以来一直在进行，该团伙推广针对 Chrome、Discord、Signal、WhatsApp 和 Microsoft Exchange 等流行软件的 0day 漏洞利用。但所有这些恶意代码库都包含一个名为 “poc.py” 的 Python 脚本（包含用于下载并执行恶意二进制文件的代码），将根据受害者的主机操作系统下载不同的有效负载。

该脚本会根据受害者的操作系统从外部 URL 下载一个 ZIP 文件到受害者的计算机上，Linux 用户是 “cveslinux.zip”，Windows 用户则是 “cveswindows.zip”。恶意软件会被保存到 Windows 的 % Temp% 目录或 Linux 的 /home//.local/share 文件夹中，然后被解压并执行。

VulnCheck 报告称，该 ZIP 文件中的 Windows 可执行文件（'cves_windows.exe'）在 VirusTotal 上被超过 60% 的杀毒引擎标记，Linux 可执行文件（'cves_linux'）则要隐蔽得多。尽管每次发现新的类似活动 VulnCheck 都在第一时间联系平台进行删除，但 VulnCheck 指出，这些黑客团伙似乎很有毅力，在现有账户和代码库被举报并删除后，他们总会创建新的账户和代码库。

VulnCheck 针对此类事件提醒网络安全研究人员及爱好者，在从未知代码库下载内容时需要注意仔细审查代码。通过针对漏洞研究和网络安全社区，恶意软件可能会为攻击者提供网络安全公司的网络初始访问权限，导致进一步的数据窃取和勒索攻击。由于网络安全公司往往拥有关于客户的敏感信息，如漏洞评估、远程访问凭据甚至未公开的零日漏洞，对于不法分子来说是非常有价值的攻击目标。

信源：看雪学苑